Residensi data memberi Anda kontrol lebih besar atas lokasi data Security Command Center Anda. Halaman ini memberikan informasi penting tentang cara Security Command Center mendukung aset data.
Definisi berikut berlaku untuk halaman ini:
- Lokasi adalah region atau multi-region Google Cloud yang sesuai dengan lokasi penyimpanan data Anda.
- Arti istilah data Anda setara dengan arti istilah "Data Pelanggan" di item Lokasi Data dalam Persyaratan Layanan Umum Google Cloud.
Lokasi data yang didukung
Security Command Center hanya mendukung multi-region Google Cloud berikut sebagai lokasi data:
- Uni Eropa (
eu
) - Data berada di region Google Cloud mana pun dalam negara anggota Uni Eropa.
- Amerika Serikat (
us
) - Data berada di region Google Cloud mana pun di Amerika Serikat.
- Kerajaan Arab Saudi (KSA) (
sa
) - Data berada di region Google Cloud mana pun di KSA.
- Global (
global
) - Data dapat berada di region Google Cloud mana pun. Jika retensi data tidak diaktifkan, Global (
global
) adalah satu-satunya lokasi yang didukung.
Untuk informasi selengkapnya tentang lokasi Security Command Center, lihat Produk yang tersedia berdasarkan lokasi.
Jika Anda perlu menentukan lokasi default untuk retensi data yang tidak didukung Security Command Center, hubungi perwakilan akun Anda atau spesialis penjualan Google Cloud.
Persyaratan untuk residensi data
Anda hanya dapat mengaktifkan aset data saat mengaktifkan paket Standard atau Premium Security Command Center di organisasi untuk pertama kalinya. Tingkat Enterprise tidak mendukung residensi data.
Setelah retensi data diaktifkan, Anda tidak dapat menonaktifkannya atau mengubah lokasi default. Selain itu, ringkasan temuan dan jalur serangan Gemini tidak tersedia.
Untuk menggunakan retensi data, Anda harus menggunakan Security Command Center v2 API. Jika retensi data diaktifkan, Anda tidak dapat menggunakan Security Command Center API versi sebelumnya.
Jika Anda tidak mengaktifkan residensi data saat mengaktifkan Security Command Center, Security Command Center tidak akan membatasi data Anda ke lokasi tertentu, dan data tersebut akan disimpan sesuai dengan Persyaratan Layanan Google Cloud Platform.
URL Regional
Untuk lokasi Kerajaan Arab Saudi (KSA), Anda harus menggunakan URL khusus lokasi untuk mengakses konsol Google Cloud yang memiliki wilayah hukum, serta beberapa metode dan perintah di gcloud CLI, Cloud Client Library, dan Security Command Center API:
Konsol
Untuk mengakses Security Command Center, gunakan konsol Google Cloud yang sesuai dengan wilayah hukum, https://console.sa.cloud.google.com/.
Konsol Google Cloud yang memiliki wilayah hukum memungkinkan Anda mengakses data Security Command Center di lokasi KSA dan Global.
gcloud
Untuk mengakses data di lokasi KSA, grup perintah gcloud CLI berikut mengharuskan Anda menggunakan endpoint layanan regional untuk Security Command Center API:
gcloud scc bqexports
: mengelola konfigurasi ekspor BigQuerygcloud scc findings
: mengelola temuangcloud scc muteconfigs
: mengelola konfigurasi aturan bisukangcloud scc notifications
: mengelola konfigurasi ekspor berkelanjutan
Selain itu, grup perintah gcloud scc operations
tidak tersedia untuk operasi yang berjalan lama di
lokasi KSA. Misalnya, Anda tidak dapat memeriksa status operasi yang berjalan lama
untuk menyembunyikan temuan secara massal.
Untuk semua grup perintah gcloud scc
lainnya, Anda harus menggunakan endpoint layanan default untuk Security Command Center API.
Untuk beralih ke endpoint layanan regional, jalankan perintah berikut:
gcloud config set api_endpoint_overrides/securitycenter \
https://securitycenter.me-central2.rep.googleapis.com/
Untuk beralih ke endpoint layanan default, jalankan perintah berikut:
gcloud config unset api_endpoint_overrides/securitycenter
Jika mau, Anda dapat membuat
konfigurasi bernama untuk
gcloud CLI yang menggunakan endpoint layanan regional, lalu beralih ke
konfigurasi bernama tersebut sebelum menjalankan perintah Security Command Center di
lokasi KSA. Untuk beralih ke konfigurasi bernama, jalankan perintah
gcloud config configurations activate
.
REST
Untuk lokasi KSA, Security Command Center API menggunakan endpoint layanan regional
https://securitycenter.me-central2.rep.googleapis.com/
.
Untuk mengakses jenis resource REST API berikut di lokasi KSA, Anda harus menggunakan endpoint layanan regional untuk Security Command Center:
folders.locations.bigQueryExports
folders.locations.findings
folders.locations.muteConfigs
folders.locations.notificationConfigs
organizations.locations.bigQueryExports
organizations.locations.findings
organizations.locations.muteConfigs
organizations.locations.notificationConfigs
projects.locations.bigQueryExports
projects.locations.findings
projects.locations.muteConfigs
projects.locations.notificationConfigs
Selain itu, Anda tidak dapat memanggil metode apa pun untuk resource organizations.operations
di lokasi KSA. Misalnya, Anda tidak dapat memeriksa status
operasi yang berjalan lama untuk
menyembunyikan temuan secara massal.
Untuk semua jenis resource lainnya, Anda harus menggunakan endpoint layanan default untuk
Security Command Center API, https://securitycenter.googleapis.com/
.
Go
Untuk mengelola jenis resource berikut di lokasi KSA, Anda harus mengganti endpoint layanan default saat membuat klien untuk Security Command Center:
Gunakan endpoint securitycenter.me-central2.rep.googleapis.com:443
untuk jenis resource ini. Contoh kode berikut menunjukkan cara membuat klien yang menggunakan endpoint layanan regional.
Java
Untuk mengelola jenis resource berikut di lokasi KSA, Anda harus mengganti endpoint layanan default saat membuat klien untuk Security Command Center:
Gunakan endpoint securitycenter.me-central2.rep.googleapis.com:443
untuk jenis resource ini. Contoh kode berikut menunjukkan cara membuat klien yang menggunakan endpoint layanan regional.
Saat residensi data diterapkan
Saat Anda mengaktifkan aset data untuk Security Command Center, beberapa data Security Command Center akan disimpan dalam lokasi yang ditentukan saat berada dalam salah satu status berikut:
- Dalam penyimpanan: Semua lokasi yang didukung
- Sedang digunakan: Khusus KSA (
sa
) - Dalam pengiriman: Khusus KSA (
sa
)
Residensi data dalam penyimpanan
Data dalam penyimpanan jika semua kriteria berikut terpenuhi:
- Data ini ditujukan untuk jenis resource yang tunduk pada kontrol residensi data.
- Anda belum meminta operasi yang memerlukan akses data.
- Data tidak diakses dengan cara yang menghasilkan log audit atau log Transparansi Akses.
Saat Anda mengaktifkan aset data, Security Command Center akan melakukan hal berikut:
Uni Eropa, Amerika Serikat, dan Global
Jika memungkinkan, saat data temuan dalam penyimpanan, Security Command Center akan menyimpannya di multi-region Google Cloud tempat resource Anda berada.
Jika tidak, saat data temuan dalam penyimpanan, data tersebut akan disimpan di lokasi default yang Anda pilih.
Saat jenis resource konfigurasi tertentu dalam status tidak aktif, Security Command Center akan menyimpannya di lokasi default yang Anda pilih.
Jika Security Command Center menyimpan data yang bukan Data Pelanggan, seperti yang ditentukan dalam item Lokasi Data di Persyaratan Layanan Umum Google Cloud, Security Command Center akan menyimpan data dalam penyimpanan sesuai dengan Persyaratan Layanan Google Cloud Platform.
KSA
- Saat temuan dibuat untuk resource yang berada di lokasi KSA, temuan tersebut akan selalu berada di lokasi KSA dalam status tidak aktif.
- Saat temuan dibuat untuk resource yang berada di lokasi lain, temuan tersebut pada akhirnya akan berada di lokasi KSA dalam keadaan tidak aktif. Namun, temuan tersebut mungkin berada di region lain untuk sementara.
- Saat Anda membuat jenis resource konfigurasi tertentu di lokasi KSA, dan resource tersebut dalam status tidak aktif, resource tersebut akan berada di lokasi KSA.
-
Jika Security Command Center menyimpan data yang bukan Data Pelanggan, seperti yang ditentukan dalam item Lokasi Data di Persyaratan Layanan Umum Google Cloud, Security Command Center akan menyimpan data dalam penyimpanan sesuai dengan Persyaratan Layanan Google Cloud Platform.
Residensi data yang digunakan
Data sedang digunakan jika semua kriteria berikut terpenuhi:
- Data ini ditujukan untuk jenis resource yang tunduk pada kontrol residensi data.
- Google Cloud menyelesaikan operasi yang dimulai atas permintaan Anda—misalnya, karena aplikasi Anda memanggil Security Command Center API—atau operasi yang menghasilkan log audit atau log Transparansi Akses.
- Google Cloud dapat beroperasi pada data dengan cara yang memerlukan pengetahuan tentang makna data—misalnya, dengan memperbarui kolom tertentu dalam resource konfigurasi. Hal ini mencakup setiap kasus saat data tidak dienkripsi dalam memori.
Saat Anda mengaktifkan aset data, Security Command Center akan melakukan hal berikut:
Uni Eropa, Amerika Serikat, dan Global
Di lokasi Uni Eropa, Amerika Serikat, dan Global, data yang digunakan tidak tunduk pada kontrol kedudukan data.
KSA
- Saat temuan dibuat untuk resource yang berada di lokasi KSA, temuan tersebut selalu berada di lokasi KSA yang digunakan.
- Saat temuan dibuat untuk resource yang berada di lokasi lain, temuan tersebut pada akhirnya akan berada di lokasi KSA yang digunakan. Namun, temuan tersebut mungkin untuk sementara berada di region lain yang digunakan.
- Saat Anda membuat jenis resource konfigurasi tertentu di lokasi KSA, dan resource tersebut sedang digunakan, resource tersebut akan berada di lokasi KSA.
-
Jika Security Command Center menyimpan data yang bukan Data Pelanggan, seperti yang ditentukan dalam item Lokasi Data di Persyaratan Layanan Umum Google Cloud, Security Command Center akan menyimpan data yang digunakan sesuai dengan Persyaratan Layanan Google Cloud Platform.
Residensi data dalam pengiriman
Data dalam pengiriman jika semua kriteria berikut terpenuhi:
- Data ini ditujukan untuk jenis resource yang tunduk pada kontrol residensi data.
- Data sedang dikirim, dengan enkripsi, dalam jaringan Google, atau data berada dalam memori, dengan enkripsi, untuk tujuan mengirimkannya dalam jaringan Google.
Saat Anda mengaktifkan aset data, Security Command Center akan melakukan hal berikut:
Uni Eropa, Amerika Serikat, dan Global
Di lokasi Uni Eropa, Amerika Serikat, dan Global, data dalam pengiriman tidak tunduk pada kontrol kedudukan data.
KSA
- Saat temuan dibuat untuk resource yang berada di lokasi KSA, temuan tersebut selalu berada di lokasi KSA dalam pengiriman.
- Saat temuan dibuat untuk resource yang berada di lokasi lain, temuan tersebut pada akhirnya akan berada di lokasi KSA dalam pengiriman. Namun, temuan tersebut mungkin berada di wilayah lain untuk sementara selama dalam pengiriman.
- Saat Anda membuat jenis resource konfigurasi tertentu di lokasi KSA, dan resource tersebut sedang dalam pengiriman, resource tersebut akan berada di lokasi KSA.
-
Jika Security Command Center menyimpan data yang bukan Data Pelanggan, seperti yang ditentukan dalam item Lokasi Data di Persyaratan Layanan Umum Google Cloud, Security Command Center akan menyimpan data dalam pengiriman sesuai dengan Persyaratan Layanan Google Cloud Platform.
Lokasi data default
Untuk lokasi Uni Eropa, Amerika Serikat, dan Global, saat mengaktifkan lokasi penyimpanan data Security Command Center, Anda menentukan lokasi Security Command Center default. Anda dapat memilih lokasi data yang didukung sebagai lokasi default.
Security Command Center hanya menggunakan lokasi default untuk menyimpan temuan dalam penyimpanan yang berlaku untuk jenis resource berikut:
- Resource yang tidak berada di lokasi data yang didukung untuk Security Command Center
- Resource yang tidak menentukan lokasi dalam metadatanya
Jika Anda men-deploy resource Google Cloud di beberapa lokasi atau
multi-region, Anda dapat memilih lokasi Global (global
) sebagai lokasi
default.
Jika Anda men-deploy resource hanya di satu lokasi, Anda dapat memilih multi-region yang menyertakan lokasi tersebut sebagai default.
Resource Security Command Center dan residensi data
Daftar berikut menjelaskan cara Security Command Center menerapkan kontrol tempat penyimpanan data ke resource Security Command Center. Jika tidak tercantum di sini, resource tersebut tidak tunduk pada kontrol residensi data dan disimpan sesuai dengan Persyaratan Layanan Google Cloud Platform.
- Aset
Metadata aset disimpan oleh Inventaris Aset Cloud dan tidak tunduk pada kontrol residensi data. Data ini disimpan sesuai dengan Persyaratan Layanan Google Cloud Platform.
Oleh karena itu, halaman Aset Security Command Center di konsol Google Cloud selalu menampilkan semua resource di organisasi, folder, atau project Anda, terlepas dari lokasinya atau lokasi yang Anda pilih di konsol Google Cloud. Namun, saat residensi data diaktifkan, dan Anda melihat detail aset, halaman Aset tidak menampilkan informasi tentang temuan yang memengaruhi aset.
- Skor eksposur serangan dan jalur serangan
Skor eksposur serangan dan jalur serangan tidak tunduk pada kontrol residensi data. Data ini disimpan sesuai dengan Persyaratan Layanan Google Cloud Platform.
- Ekspor BigQuery
Konfigurasi ekspor BigQuery tunduk pada kontrol lokasi data.
Uni Eropa, Amerika Serikat, dan Global
Saat membuat resource ini, Anda menentukan lokasi tempat resource tersebut berada. Konfigurasi ini hanya berlaku untuk temuan yang berada di lokasi yang sama.
KSA
Gunakan URL regional untuk membuat dan mengelola resource konfigurasi ini. Mereka tinggal di lokasi KSA, beserta temuan Anda.
Security Command Center API merepresentasikan konfigurasi ekspor BigQuery sebagai resource
BiqQueryExport
.- Ekspor berkelanjutan
Konfigurasi ekspor berkelanjutan tunduk pada kontrol residensi data.
Uni Eropa, Amerika Serikat, dan Global
Saat membuat resource ini, Anda menentukan lokasi tempat resource tersebut berada. Konfigurasi ini hanya berlaku untuk temuan yang berada di lokasi yang sama.
KSA
Gunakan URL regional untuk membuat dan mengelola resource konfigurasi ini. Mereka tinggal di lokasi KSA, beserta temuan Anda.
Security Command Center API mewakili konfigurasi ekspor berkelanjutan sebagai resource
NotificationConfig
.- Temuan
Temuan tunduk pada kontrol residensi data.
Uni Eropa, Amerika Serikat, dan Global
Saat dibuat, temuan akan berada di lokasi Security Command Center tempat resource yang terpengaruh berada.
Jika resource yang terpengaruh berada di luar lokasi yang didukung atau tidak memiliki ID lokasi, temuan untuk resource tersebut akan berada di lokasi default Anda.
KSA
Saat temuan dibuat untuk resource yang berada di lokasi KSA, temuan tersebut akan selalu berada di lokasi KSA.
Saat temuan dibuat untuk resource yang berada di lokasi lain, temuan tersebut pada akhirnya akan berada di lokasi KSA. Namun, temuan tersebut mungkin berada di region yang berbeda pada saat dibuat.
Untuk membantu memastikan bahwa temuan selalu berada di lokasi KSA, buat semua resource Anda di lokasi KSA.
- Aturan bisukan
Konfigurasi aturan bisukan tunduk pada kontrol residensi data.
Uni Eropa, Amerika Serikat, dan Global
Saat membuat resource ini, Anda menentukan lokasi tempat resource tersebut berada. Konfigurasi ini hanya berlaku untuk temuan yang berada di lokasi yang sama.
KSA
Gunakan URL regional untuk membuat dan mengelola resource konfigurasi ini. Mereka tinggal di lokasi KSA, beserta temuan Anda.
Security Command Center API merepresentasikan konfigurasi aturan bisukan sebagai resource
MuteConfig
.- Referensi dan setelan Security Command Center lainnya
Resource dan setelan Security Command Center yang tidak tercantum di sini, seperti resource dan setelan yang menentukan layanan mana yang diaktifkan atau paket mana yang aktif, tidak tunduk pada kontrol aset data. Data ini disimpan sesuai dengan Persyaratan Layanan Google Cloud Platform.
Membuat atau melihat data di lokasi
Jika residensi data diaktifkan, Anda harus menentukan lokasi saat membuat atau melihat data apa pun yang tunduk pada kontrol residensi data. Security Command Center secara otomatis memilih lokasi untuk temuan yang dibuatnya.
Anda dapat membuat atau melihat data di satu lokasi saja dalam satu waktu. Misalnya, jika Anda
mencantumkan temuan di lokasi Global (global
), Anda tidak akan melihat temuan di
lokasi Uni Eropa (eu
).
Untuk membuat atau melihat data yang berada di lokasi Security Command Center, lakukan hal berikut:
Konsol
Uni Eropa, Amerika Serikat, dan Global
Di konsol Google Cloud, buka Security Command Center.
Untuk mengubah lokasi data, klik pemilih lokasi di panel tindakan.
Daftar lokasi akan muncul. Pilih lokasi baru.
KSA
Di konsol Google Cloud yang memiliki wilayah hukum untuk lokasi KSA, buka Security Command Center.
gcloud
Uni Eropa, Amerika Serikat, dan Global
Gunakan flag --location=LOCATION
saat Anda menjalankan Google Cloud CLI, seperti yang ditunjukkan dalam contoh berikut.
Perintah
gcloud scc findings list
mencantumkan temuan organisasi di lokasi tertentu.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
-
ORGANIZATION_ID
: ID numerik organisasi -
LOCATION
: Lokasi Security Command Center yang akan digunakan, sepertieu
; jika retensi data tidak diaktifkan, gunakanglobal
Jalankan perintah
gcloud scc findings list
:
Linux, macOS, atau Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Respons berisi daftar temuan.
KSA
Konfigurasikan gcloud CLI agar menggunakan endpoint layanan regional lokasi KSA untuk Security Command Center API:
gcloud config set api_endpoint_overrides/securitycenter \
https://securitycenter.me-central2.rep.googleapis.com/
Kemudian, Anda harus menggunakan flag --location=sa
saat menjalankan Google Cloud CLI, seperti yang ditunjukkan dalam contoh berikut.
Perintah
gcloud scc findings list
mencantumkan temuan organisasi di lokasi tertentu.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
-
ORGANIZATION_ID
: ID numerik organisasi
Jalankan perintah
gcloud scc findings list
:
Linux, macOS, atau Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=sa
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=sa
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=sa
Respons berisi daftar temuan.
REST
Uni Eropa, Amerika Serikat, dan Global
Gunakan endpoint API yang menyertakan locations/LOCATION
dalam jalur, seperti yang ditunjukkan dalam contoh berikut.
Metode organizations.sources.locations.findings.list
Security Command Center API mencantumkan temuan organisasi di lokasi tertentu.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
ORGANIZATION_ID
: ID numerik organisasi -
LOCATION
: Lokasi Security Command Center yang akan digunakan, sepertieu
; jika retensi data tidak diaktifkan, gunakanglobal
Metode HTTP dan URL:
GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Respons berisi daftar temuan.
KSA
Gunakan endpoint layanan regional untuk lokasi KSA guna memanggil API, seperti yang ditunjukkan dalam contoh berikut.
Metode organizations.sources.locations.findings.list
Security Command Center API mencantumkan temuan organisasi di lokasi tertentu.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
ORGANIZATION_ID
: ID numerik organisasi
Metode HTTP dan URL:
GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Respons berisi daftar temuan.
Langkah selanjutnya
- Pelajari cara mengaktifkan Security Command Center dengan retensi data diaktifkan.
- Aktifkan Security Command Center untuk menstreaming temuan ke BigQuery.
- Siapkan ekspor berkelanjutan dari Security Command Center ke Pub/Sub.
- Buat aturan penonaktifan untuk temuan.